{tag> brouillon bionic sécurité chiffrement tutoriel}}

===== Installer des partitions chiffrées. =====

Ce tutoriel décrit une méthode pour améliorer la [[:sécurité]] de vos données personnelles ou professionnelles, non pas lorsque votre ordinateur est allumé, mais lorsque celui-ci est éteint, dans le cas d'une perte ou d'un vol d'un ordinateur portable **ou des supports amovibles contenant les informations importantes**.

Un mot de passe sera demandé lors du montage de ces partitions. Il faut le choisir assez compliqué. La pratique montre que le logiciel ubuntu n'aime pas trop les caractères se frappant en aveugle  à l'aide de deux  touches. Ce mot de passe sert à "chiffrer" les données de la partition.   Ce mot de passe n'a rien à voir  avec celui demandé  au moment de la connexion de l'utilisateur. Il ne faut donc ni le perdre, ni le divulguer. Toute personne décidant d'accéder à ces partitions avec une autre technique, lira des informations non compréhensibles. En clair les outils de récupération de données  du style testdisk seront inefficaces.

 ===== Comment. =====
  * L'utilisation d'au moins  un conteneur chiffré [[wpfr>LUKS|LUKS]]  assurera la sécurité. 
  * Le formatage de ces conteneurs en type de partition  EXT4 permettra l'[[:installation|installation]] de votre [[:Ubuntu]] ou de vos données personnelles   dans cet espace sécurisé.
Cela va chiffrer l'intégralité des fichiers stockés dans ce type de partition au moment de leur écriture. Il ne faut donc qu'une seule fois "montrer patte blanche" au  moment du montage de chacune de ces partitions. Sans la //passphrase//, le système ne mettra pas en route s'il est protégé. La  partition de données utilisateurs devra être montée par l'utilisateur lui-même au moment où il souhaitera accéder à ses données protégées.


===== Pré-requis. =====
  * Un ordinateur qui ne dispose pas d'un disque dur ou de supports USB à chiffrement matériel ou ne l'utilisant pas. 
Un système puissant sera un plus : le chiffrement logiciel consomme des ressources à chaque accès au disque.
  * Avoir un média d'installation d'une **iso standard** de la version BIONIC (18.04.1) ( http://releases.ubuntu.com/bionic/ubuntu-18.04.1-desktop-amd64.iso.torrent )
  * Du temps:   Les tutos de ce type d'installation n'existent pas dans la documentation française.
  * Une certaine maîtrise de l'OS.
  * De l'espace libre sur votre disque pour installer:

  * Une partition de boot standard.  Format EXT4 . Taille 1 Go.
  * Une partition LUKS destinée à héberger vos données personnelles qu'il faut sécuriser.
  * Une partition LUKS destinée à héberger le logiciel dans les cas suivants: Vous développez un logiciel ultra confidentiel ou vous utilisez de l'espace dans cette partition pour y stocker aussi vos données.   La taille sera alors d'environ 30 Go ou plus. Vous ne souhaitez pas vous embêter à séparer vos données du logiciel. La taille sera alors maxima.

===== Booter classiquement. ====
Prendre le choix "autre chose" afin de visualiser l'espace disque disponible.

Se positionner sur un espace libre.

 ** Choisir de fabriquer une partition EXT4** de taille de 1 Go pour allouer cela au point de montage /boot même si l'ordinateur boote en mode EFI.  
Séparer le /boot va simplifier le démarrage de l'ordinateur, aucune partie de Grub n'étant chiffrée.
Il faut penser à activer le flag "boot" sur cette partition, si le boot a lieu  en mode LEGACY.

**Choisir de fabriquer une partition ext4  de taille de 30 Go** si vous pensez fabriquer une partition de données personnelles protégée

ou

**Choisir de fabriquer une partition luks avec la totalité de l'espace disque disponible**  si vous ne souhaitez pas fabriquer une partition de données personnelles protégée. 

Lorsque cette partition  LUKS, sera créée, il faut la sélecter pour l'allouer au point de montage / avec formatage EXT4.

Puis il faut procéder à l'installation classique que tout le monde connaît.

Notez bien qu'en version 18.04.1. il n'y a pas de partition /swap  ni de partition /home dans une installation chiffrée.

===== Partition de données personnelles sécurisée. =====

Il est probable que cela apporte pas mal de sécurité. Ce qui  n'est pas protégé  se résume à "il faut garder en tête que pourraient transiter dans un espace temporaire ou en swap vos données en clair".

Si vous pensez assurer ce risque, il est inutile de fabriquer un OS sécurisé, une partition de données sécurisée suffit.

Cette partition sera créée, après l'installation en lançant  l'application disque

Eventuellement, lui demander de rétrécir la partition contenant l'O.S. chiffré.

Sélectionner l'espace libre. L'allouer à une partition LUKS.  Formater en EXT4 cette partition luks.

Pensez à monter cette partition avant de l'utiliser avec vos applications.

Souvenez-vous que cette partition ne pourra jamais être montée automatiquement via /etc/fstab   car il y a une demande de mot de passe au montage. En fait, cela devrait être possible: il faudrait certainement mettre le mot de passe de montage de cette partition dans le fichier.  Ce qui exigerait alors que l'OS soit aussi chiffré!!!!!
   
=====  Installation de plusieurs mots de passe. =====
 
 Il est possible par la suite d'installer de mots de passes synonymes voir la documentation  https://doc.ubuntu-fr.org/tutoriel/chiffrer_son_disque#gestion_des_passphrases
   
===== Un exemple =====
Le premier jet de ce document est fait à partir d'une installation réalisée sur LIVE-USB
 avec OS installé sur la clé puis rétrécie..
<code>
a@a:~$ lsblk | grep -Ev 'sda|loop|sr0'
NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sdb                                             8:16   1  57,6G  0 disk  
├─sdb1                                          8:17   1  14,9G  0 part  /media/a/USB64GO-FAT
├─sdb2                                          8:18   1    23G  0 part  
│ └─luks-a6444279-0ba9-4a26-beed-3db0fbf6a8f3 253:0    0    23G  0 crypt /media/a/eb50bf05-2dc6-4513-8e73-29eb6cc1b713
├─sdb3                                          8:19   1   976M  0 part  /media/a/USB64Go
└─sdb4                                          8:20   1  18,7G  0 part  
  └─luks-a2661f43-cf7f-4559-b778-716b39fd2119 253:1    0  18,7G  0 crypt /media/a/DataExt4
</code>
Initialement la clé était composée de SDB1, SDB2, SDB3. Après l'installation SDB2 a été rétréci pour créer SDB4. La partie liens symboliques n'a pas encore été faite. Cette clé est accessible uniquement en USB2.... Ce qui n'est pas très pratique!!
Pour le moment, les captures d'écran sont absentes. mais elles viendront certainement dans  une semaine.

===== Un exemple de création de partition sécurisée. =====
1) Lancer l'application disque et rechercher un espace disponible  quelque part. par exemple à cet endroit
http://pix.toile-libre.org/upload/original/1533423523.png

2) Créer un Volume luks protégé par mot de passe.  <a href='http://pix.toile-libre.org/?img=1533424838.png'>

3) Allouer un mot de passe mémorisable  <a href='http://pix.toile-libre.org/?img=1533425086.png'>

=====Voir aussi=====

https://doc.ubuntu-fr.org/tutoriel/chiffrer_son_disque
----

//Contributeurs principaux : //